2024-0366: Jenkins für Red Hat OpenShift Container Platform: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-02-13 11:48)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Linux
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Red Hat hat ein Sicherheitsupdate für 'jenkins-plugins' und 'jenkins-2-plugins' für OpenShift Developer Tools und Services für Red Hat OpenShift Container Platform (OCP) 4.13 veröffentlicht, um die Schwachstellen zu schließen.
Schwachstellen:
CVE-2021-26291
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von DatenCVE-2022-25857
Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-AngriffCVE-2022-29599
Schwachstelle in maven-shared-utils ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-42889
Schwachstelle in Apache Commons Text ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-24422
Schwachstelle in Script Security Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-25761
Schwachstelle in JUnit Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-25762
Schwachstelle in Pipeline: Build Step Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-37946
Schwachstelle in OpenShift Login Plugin ermöglicht Erlangen von AdministratorrechtenCVE-2024-23897
Schwachstelle in Jenkins ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-23898
Schwachstelle in Jenkins ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.